Оффлайн
- Регистрация
- 23.06.18
- Сообщения
- 33
- Реакции
- 7
- Репутация
- 18
Проблема позволяет выполнить код с правами текущего пользователя.
Команда Phoenhexразместилана GitHib PoC-код для эксплуатации уязвимости (CVE-2018-8629) в JavaScript-движке Chakra, входящем в состав браузера Microsoft Edge, которая позволяет выполнить произвольный код с правами текущего пользователя на непропатченных системах.
PoC-код включает 71 строку кода и приводит к чтению за пределами выделенной области памяти. В текущем виде эксплоит не нанесет серьезного ущерба, но при соответствующей доработке злоумышленники смогут с его помощью устанавливать программы, просматривать, модифицировать, удалять данные или создать новую учетную запись с правами администратора. Для эксплуатации уязвимости атакующему потребуется заманить жертву на вредоносный сайт или разместить эксплоит на часто посещаемых ею ресурсах.
В начале декабря Microsoftвыпустилаплановые обновления безопасности, устраняющие в общей сложности 39 уязвимостей в ряде продуктов, в том числе проблему CVE-2018-8629, однако это не означает автоматическую защиту для всех пользователей, поскольку многие предпочитают отключить или отложить обновление до более подходящего момента или зависят от того, когда системные администраторы установят патчи.